Bollettini sulla sicurezza dei prodotti

report

Pratiche sulla sicurezza dei prodotti

Scopri di più sulle nostre pratiche di sicurezza dei prodotti software

McAfee è altamente impegnata nell'assicurare la sicurezza dei computer, reti, dispositivi e dati della clientela. Il nostro compito consiste nel risolvere rapidamente i problemi non appena si presentano, dando raccomandazioni tramite i bollettini di sicurezza e gli articoli della KnowledgeBase. Se hai bisogno di assistenza, desideri segnalare un virus oppure richiedere la categorizzazione di un URL, seleziona il relativo pulsante. Per i report sulle vulnerabilità relativi ai nostri prodotti e siti web, fai clic sulla scheda “Segnala una vulnerabilità di sicurezza” qui sotto.

Invia un esempio di virusContatta l’Assistenza EnterpriseContatta l’Assistenza ConsumerRichiesta di classificazione di un URL

21 maggio 2018: Spectre NG

Un gruppo di due nuove vulnerabilità a canale laterale scoperte da Intel il 21 maggio 2018, chiamate Spectre NG, riguardano i prodotti delle appliance McAfee.

  • CVE-2018-3639 – Speculative Store Bypass (SSB) – conosciuta anche come Variant 4
  • CVE-2018-3640 – Rogue System Register Read (RSRE) – conosciuta anche come Variant 3a

Articoli della KnowledgeBase:

  • KB90619 – La risposta di McAfee ai report su Spectre-NG

 

Guarda l'archivio di tutti i banner
Bollettini di sicurezza
Bollettini di sicurezza – Consumer

McAfee ha avviato una collaborazione con HackerOne per gestire le segnalazioni dei potenziali problemi o vulnerabilità di sicurezza nei nostri prodotti e siti web pubblici. Insieme stiamo conducendo un programma privato al quale sarai invitato a partecipare prima di inviare la tua segnalazione.

Per la tua prima segnalazione, invia un’email a security_report@mcafee.com.

Il sistema di HackerOne ti invierà quindi una risposta automatizzata con le istruzioni su come procedere. Le segnalazioni successive potranno essere inviate direttamente tramite il sistema di HackerOne.

Anche le eventuali informazioni incluse nella tua email iniziale verranno aggiunte automaticamente al sistema di HackerOne.

Una volta entrato nel sistema dovrai fornire:

  • Il tuo recapito (tutte le interazioni avverranno tramite il sistema)
  • Una sintesi di cosa hai riscontrato
  • I passaggi dettagliati per riprodurre il problema, compresi eventuali codici di esempio e schermate/video
  • Le vulnerabilità del prodotto
    • Il prodotto, la versione e il sistema operativo
  • Le vulnerabilità del sito web
    • Il nome e la versione del browser
  • Eventuali piani di divulgazione

Segnalazioni di vulnerabilità di prodotti o siti web

McAfee PSIRT
Email: security_report@mcafee.com

Problemi di prestazioni dei prodotti/software o degli abbonamenti Enterprise
Assistenza Enterprise

Problemi di prestazioni dei prodotti/software o degli abbonamenti per gli utenti consumer
Assistenza Consumer

Invia un esempio di virus
Maggiori informazioni

Invia un URL per la classificazione oppure contesta una classificazione
Maggiori informazioni

Contatta McAfee PSIRT
Email: Security_Report@McAfee.com

Istruzioni delle policy PSIRT

Fruibilità
McAfee non rende pubblica la vulnerabilità di un prodotto o software senza mettere a disposizione una soluzione alternativa, una patch, un hotfix o un aggiornamento della versione. Altrimenti significherebbe semplicemente informare la comunità degli hacker che i nostri prodotti sono un bersaglio, mettendo fortemente a rischio i clienti. Per le vulnerabilità con notevole risonanza nei mezzi di informazione, come HeartBleed, pubblicheremo un banner che dichiara la nostra consapevolezza e le nostre azioni.

Niente favoritismi
Per equità, McAfee comunica le vulnerabilità dei prodotti a tutti i clienti contemporaneamente. Normalmente i grandi clienti non ricevono alcun avviso in anticipo. L'avviso anticipato può essere concesso dal CISO caso per caso e solo in presenza di un rigoroso accordo di non divulgazione (NDA).

Scopritori
McAfee accredita gli scopritori delle vulnerabilità solo se:

  • desiderano essere riconosciuti come scopritori;
  • non hanno lanciato un attacco "zero-day" rendendo pubblica la propria ricerca prima della pubblicazione di un bollettino di sicurezza o di un articolo basato sulla documentazione (KnowledgeBase).

Possono essere riconosciuti come scopritori le organizzazioni, gli individui o entrambi.

Punteggi CVSS
Va utilizzata la versione più aggiornata del Common Vulnerability Scoring System (CVSS). Attualmente è in uso il CVSS v3.

Tutti i bollettini di sicurezza devono presentare i punteggi CVSS di ogni vulnerabilità, oltre agli associati vettori CVSS. Il punteggio base è obbligatorio. I punteggi temporale e ambientale sono facoltativi. Idealmente i punteggi base devono corrispondere a quelli assegnati dal NIST alle CVE (vulnerabilità ed esposizioni comuni).

Support Notification Service (SNS)
Un messaggio, notifica o avviso SNS è obbligatorio per tutti i bollettini di sicurezza. Si tratta di un servizio sul quale possono fare affidamento, fra gli altri, i clienti del Supporto McAfee Enterprise.

Per abbonarti ai messaggi di avviso SNS, visita il SNS Request Center (Centro richiesta SNS).

Policy di risposta
La risposta McAfee, di correzione e avviso, dipende dal punteggio base CVSS più elevato.

Priorità (sicurezza)Punteggio CVSS Tipica risposta correttiva* SNS
P1 - Critico 9,0-10,0 Critico Hotfix Avviso
P2 - Elevato 7,0-8,9 Elevato Aggiorna Notifica
P3 - Medio 4,0-6,9 Medio Aggiorna Notifica
P4 - Basso 0,0-3,9 Basso Aggiornamento della versione Opzionale
P5 - Info 0,0 Nessuna correzione. Informativa. ND

*Nota: la risposta correttiva si basa sulla gravità della vulnerabilità, sul ciclo di vita del prodotto e sulla fattibilità della correzione. La risposta correttiva tipica di cui sopra non costituisce un impegno alla realizzazione di un hotfix, patch o aggiornamento della versione per tutte le versioni dei prodotti supportate.


Meccanismi di comunicazione esterna
Il meccanismo di comunicazione esterna di McAfee dipende dal punteggio CVSS base, dal numero di richieste dei clienti e dal livello di attenzione dei media.                                    

  • SB = Bollettino di sicurezza (4-10)
  • KB = Articolo della KnowledgeBase (2-4)
  • SS = Istruzione di supporto (0-4)
  • NN = Non necessaria (0)
 CVSS = 0
Basso
0 < CVSS < 4
Basso
4 ≤ CVSS < 7
Medio
7 ≤ CVSS ≤ 10
Alto
Divulgazione esterna (CVE)* KB in caso di molte richieste, altrimenti NN KB SB, SNS SB, SNS
Divulgazione alla clientela SS SS SB, SNS SB, SNS
Divulgazione interna NN Documento nelle note di rilascio SB (post-rilascio), documento nelle note di rilascio SB
(post-rilascio), documento nelle note di rilascio

*Per impostazione predefinita, McAfee non rilascia CVE per problemi con un punteggio di rischio inferiore a 4.0.



Scenari di crisi
Per le vulnerabilità molto gravi, di dominio pubblico e che interessano più prodotti, viene pubblicato un bollettino di sicurezza che include una patch per un solo prodotto. Il bollettino viene in seguito aggiornato con le patch e le descrizioni per gli altri prodotti, man mano che si rendono disponibili.

In caso di numerosi prodotti vulnerabili i Bollettini di sicurezza li elencano tutti, sia per le imprese che per i consumatori, nelle seguenti categorie:

  • Vulnerabile e aggiornato
  • Vulnerabile e non ancora aggiornato
  • Vulnerabile ma a basso rischio (date le migliori pratiche standard per la distribuzione)
  • Non vulnerabile
  • Indagato (opzionale)

Normalmente i Bollettini di sicurezza non vengono pubblicati di venerdì pomeriggio, salvo situazioni di crisi.

Vulnerabilità e punteggi di rischio
McAfee partecipa al sistema di punteggio delle vulnerabilità CVSS, standard nel settore. I punteggi CVSS devono essere considerati come un punto di partenza per determinare il rischio che una particolare vulnerabilità può porre ai clienti di McAfee. Il punteggio CVSS non va confuso con la valutazione del rischio, che giudica la gravità delle vulnerabilità verificabili nei prodotti McAfee o negli ambienti di runtime in cui vengono eseguiti i prodotti McAfee.

Il punteggio base CVSS determina la nostra iniziale risposta a un dato evento.

I Bollettini di sicurezza possono contenere elenchi di prodotti con le seguenti designazioni: Vulnerabile, Non vulnerabile, Vulnerabile ma non attaccabile e Vulnerabile ma a basso rischio. L’elenco sottostante descrive il significato di ciascuna di queste categorie nei termini del potenziale impatto per il cliente:

  • Vulnerabile: un prodotto contenente una vulnerabilità verificata. La vulnerabilità pone un certo livello di rischio ai clienti. Il punteggio CVSS associato può essere preso come un’indicazione della gravità dell’impatto dovuto allo sfruttamento della vulnerabilità nello scenario di distribuzione tipico.
  • Non vulnerabile: un prodotto non contiene alcuna vulnerabilità oppure la presenza di un componente vulnerabile non può essere sfruttata in alcun modo. L’uso del prodotto non presenta rischi aggiuntivi per i clienti.
  • Vulnerabile ma non attaccabile: un prodotto contiene una vulnerabilità, magari una libreria o un eseguibile inclusi nell’immagine, tuttavia il prodotto offre sufficienti controlli di sicurezza. La vulnerabilità non è quindi esposta agli agenti delle minacce, il che ne rende lo sfruttamento molto difficile, se non impossibile. L’uso del prodotto non presenta rischi aggiuntivi per i clienti.
  • Vulnerabile ma a basso rischio: un prodotto contiene una vulnerabilità, magari una libreria o un eseguibile inclusi nell’immagine, tuttavia l’impatto dello sfruttamento è trascurabile e non fornisce alcun valore aggiunto agli autori degli attacchi. L’uso del prodotto presenta forse un piccolo rischio aggiuntivo per i clienti che lo usano negli scenari di distribuzione tipici.